Рекордні здобутки на Pwn2Own 2026
Змагання з кібербезпеки Pwn2Own 2026, що проходило в рамках конференції OffensiveCon у Берліні, встановило нові рекорди як за кількістю виявлених вразливостей, так і за загальними виплатами винагород. За два дні інтенсивної роботи учасники ідентифікували 39 критичних вразливостей “нульового дня”, за що отримали сумарно понад 908 тисяч доларів США. Особливу увагу привернули успішні атаки на операційну систему Windows 11 та поштовий сервер Microsoft Exchange.
Детальні результати першого дня
Протягом першого дня конкурсу було виявлено 24 “нульові” вразливості, за які учасники отримали 523 тисячі доларів. Серед найуспішніших виступів виділився дослідник кібербезпеки Orange Tsai з команди DEVCORE. Йому вдалося знайти критичну вразливість у браузері Microsoft Edge, яку він реалізував через ланцюг із чотирьох логічних помилок, що дозволило йому вийти за межі безпечної “пісочниці” браузера. За це досягнення він отримав винагороду у розмірі 175 тисяч доларів. Того ж дня троє незалежних експертів успішно зламали операційну систему Windows 11, демонструючи вразливості, що дозволяють підвищити рівень привілеїв. Кожен з них отримав по 30 тисяч доларів. Крім того, Валентина Пальміотті з команди IBM X-Force була нагороджена 70 тисячами доларів за успішні атаки на NVIDIA Container Toolkit та Red Hat Linux. У категорії штучного інтелекту (ШІ) були успішно продемонстровані зламування моделей LiteLLM, OpenAI Codex, NVIDIA Megatron Bridge, Chroma та LM Studio.
Результати другого дня та загальні тенденції
Другий день змагань приніс виявлення ще 15 нових вразливостей, загальна сума винагород за які склала 385 750 доларів. Найбільший приз, 200 тисяч доларів, знову дістався Orange Tsai. Він використав комбінацію з трьох вразливостей для реалізації віддаленого виконання коду з правами SYSTEM на повністю оновленому сервері Microsoft Exchange. Другого дня також було зафіксовано повторні успішні атаки на Windows 11 та агент програмування Cursor AI. Модель OpenAI Codex також стала ціллю для зламування іншим дослідником. Організатори зазначили, що цього року конкурс зібрав максимальну кількість учасників, при цьому понад 150 дослідників не змогли взяти участь через обмеження в розкладі. Частина експертів, не чекаючи наступного року, вже опублікувала знайдені вразливості “нульового дня” у відкритому доступі. Згідно з правилами, компанії-розробники мають 90 днів для виправлення виявлених недоліків.
Раніше цього місяця було зафіксовано перший випадок, коли штучний інтелект самостійно створив та успішно реалізував експлойт для обходу двофакторної автентифікації в популярному веб-інструменті. Цей інцидент підкреслює зростаючі ризики, пов’язані з використанням ШІ у сфері кібербезпеки.
Вердикт ІТ-Блогу: Інформація про виявлені вразливості є надзвичайно важливою для адміністраторів систем та спеціалістів з кібербезпеки, які мають стежити за оновленнями програмного забезпечення для захисту своїх мереж.
Джерело новини: mezha.ua